Le QR-code facile à abuser sur le site du festival de Rock Werchter
A présent que Rock Werchter pratique les paiements via un QR-code sur le bracelet, le hacker éthique Inti De Ceukelaire a découvert qu’il était simple de visionner les transactions et de rembourser le crédit restant à quelqu’un d’autre.
Quiconque est venu le week-end dernier assister au concert de Bruce Springsteen à TW Classic ou de Pink and One Republic à Werchter Boutique, recevait un bracelet du festival portant un RFID et un QR-code. Le premier sert à valider l’accès et est utilisé depuis quelques années déjà. Quant au QR-code, il est nouveau sur le site du festival et permet de payer sans tickets ou espèces. Live Nation collabore à cette fin avec l’entreprise anversoise Weezevent, proposant son service Weezpay pour des paiements sans espèces.
Photos sur les réseaux sociaux
Mais la sécurité du système laisse à désirer, comme l’a découvert De Ceukelaire. Dans un message posté sur son blog, il explique comment ce code suffit pour visionner l’historique des transactions de quelqu’un. C’est possible sur place en photographiant le poignet d’une personne, mais De Ceukelaire met également en garde contre des photos publiées sur des médias sociaux, où ce code est visible.
Savoir combien de verres quelqu’un commande, n’est peut-être pas un drame sur le plan de la confidentialité, mais le hic, c’est qu’il est aussi possible de faire rembourser le crédit restant. Cela se fait via un code unique figurant au dos du bracelet du festival, qui n’est en principe pas facile à lire ou à photographier. Or De Ceukelaire a découvert que le QR-code divulgue aussi ce code.
Les festivaliers peuvent l’éviter en s’enregistrant en ligne et en associant le code de leur bracelet à leur compte. Ceux qui ne le font pas, courent le risque que quelqu’un d’autre le fasse et empoche ainsi le crédit restant.
Reprise du bracelet et donc du crédit boisson
De Ceukelaire insiste aussi sur un abus possible au festival même. Quelqu’un pourrait créer un compte, réclamer votre bracelet sur base d’une photo, puis en demander un nouveau et mettre ainsi la main sur votre crédit boisson.
Live Nation, l’organisation sous-jacente aux concerts sur le site du festival de Werchter, a entre-temps réagi via l’agence Belga et a affirmé ne pas avoir eu vent d’une quelconque fraude au niveau des bracelets du festival. Reste à savoir si cela pourrait arriver maintenant qu’il est bien connu que cette possibilité est relativement simple.
On ignore si la procédure sera encore adaptée avant le festival Rock Werchter organisé durant quatre jours la semaine prochaine. L’organisation a toutefois signalé sur son site qu’il était préférable de ne pas partager de photos du QR-code sur les médias sociaux et de s’enregistrer à l’avance.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici